公司伺服器設置 - 安全性和 ssh
我目前在 RackSpace 為我的公司管理一台伺服器,併計劃在下個月左右切換到 Linode,以獲得更好的伺服器並節省一些錢。
在切換的過程中,我將重建我們的整個系統映像以包含更多的安全性,並且更符合新使用者,因為我們很快就會擴展,並且需要能夠添加很多人到伺服器。
我目前正在為伺服器編寫一個腳本,它將為使用者生成目錄、設置他們的組、權限等。
我目前面臨的是如何安全地設置 SSH。我目前的設置根本不安全,在預設埠上執行,使用純文字系統密碼,即使對於 root 使用者,我的帳戶也是唯一一個帶有 pubkey 的帳戶。
我想在伺服器上設置的是更高的安全性措施,因為所有使用者都需要一個 pub 密鑰才能連接,但是,我希望所有 pub 密鑰都有一個與之關聯的密碼,這樣萬一密鑰如果他們決定將其轉移到多個系統而受到損害,那麼在更換密鑰之前仍然會有一道細長的防線。
有沒有辦法在 RSA 密鑰中強制使用密碼片語加密的安全密鑰?在伺服器上生成 pub/private 密鑰並將它們分發給我的員工會是不好的做法嗎?這裡最好的安全手段是什麼?
我將進行權限設置,以便每個使用者在伺服器上只能獲得有限的訪問權限,但是我仍然希望盡可能保證它的安全,因為作為一家軟體公司,洩露的 pub 密鑰可能會導致未經授權的訪問我們的 git 儲存庫,以及讓我們保持業務的一切。還是我只是偏執狂?
非常感謝任何和所有建議。
您可以查看各種形式的雙因素身份驗證。
- Google身份驗證器
- 尤比奇
- 維基
- Duo
- RSA等。
我已經簡要地查看了 Google Authenticator,並且我很久以前就買了一個 yubikey,但再也沒有嘗試過,所以無法為您提供任何使用它們的實際經驗。
您不能強制 SSH 密鑰具有密碼。無論您是代表使用者生成密鑰還是使用者自己生成密鑰,您都必須以一種或另一種方式將密鑰交到使用者手中……他們還必須知道密碼才能能夠使用它。如果他們有密鑰並且有密碼,他們可以根據需要刪除密碼。